Port Forwarding port RDP
-
Bonjour,
J'ai un petit souci de port.
Je viens d'acquérir un mini-boitier avec une distrib pfsense pour remplacer la Livebox (je suis sur la Fibre d'Orange) et je me retrouve face à un problème en apparence utra simple sur lequel je m'arrache les cheveux.
Je voudrais faire une redirection du RDP sur ma machine en local, jusque là rien d'exceptionnel. Sauf que malgré ma règle, rien à faire. Je l'ai déjà fait sur mon serveur dedié chez OVH et c'etait passé crème sans aucun souci.
Le pire est que j'ai fais d'autre redirection pour mon NAS et là, aucun problème. J'ai loggé la règle pour voir ce que cela donne et j'ai bien un PASS depuis l'interface WAN avec cette règle.
Je précise que le RDP fonctionne bien (je le faisais avant avec ma freebox V6) et que j'ai également testé avec un portable en modifiant la règle avec son IP, rien à faire. Quand je fais un test port en local, il me dit bien que le port est ouvert !
Voila je sèche un peu donc si une âme charitable avait la petite astuce qui manque, je suis preneur :)
-
En l'état nous n'avons aucune information permettant de vous aider. Nous ne savons rien de la configuration en place. On peu juste dire que faire du rdp au travers d'internet sans autre protection est fort dangereux. Selon les versions de utilisées et la configuration de rdp c'est plus ou moins risqué.
-
Bonjour,
Je suis dans le cadre d'une utilisation personnelle.
Pour l'infra, absolument rien d'exotique, un bête pfsense en front, un pc derrière et un NAS sur un switch…
Comme expliqué, pour d'autres ports cela fonctionne sans souci. Ah oui, j'ai tenté de feinter la machine en attaquant sur un autre port (33389), résultat identique. J'ai testé avec un serveur FTP, aucun problème ???
Je penche vraiment pour un "détail qui tue".
Les logs ne sont pas forcément très bavard (et c'est bien dommage), mais si besoin je peux en fournir.
-
Tu peux, en plus des logs, activer une capture de packet sur pfSense.
Corollairement, tu peux également regarder sur la machine cible.Quel est l'OS de ton NAS ?
Y a t-il un pare-feu sur cette machine (cible) qui empêcherait un accès distant ? -
Il n'est pas totalement impossible qu'une règle limite au réseau local les possibilités de login en RDP.
-
Je suis au taff, je fais les capture d'écran qui vont bien en rentrant.
@chris4916: Pour le NAS, c'est un syno sous DSM 4.3. Sur mon PC j'ai testé avec et sans le firewall (Kaspersky), même chose.
@ccnet: Pour la règle je suis en mode déploiement donc les règles sont un peu en mode "portes ouvertes" pour le moment, mais je vais faire les screenshots qui vont bien ce soir.
-
Bonsoir,
Désolé pour le reply tardif, quelque soucis.
J'ai avancé ! En changeant le port par défaut dans Windows et en faisant un NAT avec ce port, ca fonctionne !
Remise du port par défaut, pouf plus rien :@
Sachant que je suis chez Orange pour la fibre, est-ce que quelqu'un peut affirmer ou infirmer le fait qu'Orange bloquerait peut-être quelque chose sur ce port si on utilise autre chose que leur Livebox ?
-
Bon je continue mes tests.
Dès qu'il y a la mention de 3389, pfsense remplace aussitôt par MS RDP, et aussitôt ça bloque.
J'ai testé côté port source ou port de destination, même résultat…
En comparant les différences entre mes deux pfsense, celui qui pose problème est en 2.2.6 alors que l'autre est en 2.2.4.
Toujours aussi bizarre cette histoire...
-
Si, au besoin en activant les log au niveau du FW, tu ne vois rien coté pfSense, c'est peut-être que le blocage se situe au niveau de la machine que tu veux joindre.
-
J'ai testé en mettant mon portable de Taff à la place avec son IP, même résultat.
Il faudrait que je teste en mettant volontairement un port d'un des protocoles dans la liste déroulante pour voir si c'est juste quand on fait référence à ces ports que ca bloque ou non.
-
J'ai testé en mettant mon portable de Taff à la place avec son IP, même résultat.
Même résultat que quoi, quand ? Soyez précis cela nous évite de relire tous les posts du fil pour avoir une chance de comprendre ce que vous voulez dire. Ce que je n'ai pas fait. Pas le temps. Soyons efficaces.
-
Je répondais au post précédent, il n'y a pas d'autre personnes ayant répondu entretemps…
Donc pour éclaircir les choses pour tout le monde, j'ai testé l'aspect machine en remplacant ma machine personnelle par mon portable professionnel et en lui renseignant la même adresse IP que ma machine personnelle. Même résultat, à savoir que ça ne fonctionne pas non plus.
J'en conclus donc que la machine peut être écartée de l'équation.
Est-ce assez clair pour vous ?
-
Et que donne la vérification suggérée par chris4916 : Trafic visible ou non sur l'interface de Pfsense ?
-
La vérification du trafic donne que je vois bien du trafic passer (PASS) dans le firewall.
Pour le moment j'ai réussi a bypasser le problème en changeant le port d'écoute sur ma machine (en 3390) et en faisant du NAT du 3389 vers le 3390. Si je remet le 3389, ça ne répond plus. Mais toujours PASS dans les logs du FW…
C'est rageant de pouvoir faire du TSE en LAN sans souci de poste à poste via ce port mais pour le faire depuis l’extérieur il faut changer le port d'écoute de la machine cible :'(
Bref merci pour les infos et le temps passé en tout cas.
-
On a avancé sur ce qui se produit. Et si on capture les trames d'une tentative de connexion depuis l’extérieur, donc en passant par la firewall, et en utilisant la configuration standard (3389), que voit on à l'analyse des trames ? Des drop, des reject de la part de la machine destinataire ou pas de réponse tout simplement ?
-
Je veux bien faire la capture mais je ne sais pas (plus) les interpreter :(
-
Vous en mettrez une copie d'écran ici pour que l'on puisse regarder ce qui se passe.